a CNIL et Inria travaillent depuis maintenant 3 ans sur un projet de recherche et d’innovation ambitieux nommé Mobilitics. Son objectif : mieux connaître les smartphones, ces objets utilisés quotidiennement par des dizaines de millions de français et qui restent de véritables boîtes noires pour les utilisateurs, les chercheurs et les autorités de régulation. Pourtant, ces « amis qui nous veulent du bien » sont d’extraordinaires producteurs et consommateurs de données personnelles. Du point de vue de la recherche, ils incarnent idéalement les enjeux au cœur de l’activité de l’équipe Privatics d’Inria : comprendre les mécanismes techniques autour des données personnelles et concevoir des solutions techniques préservant la vie privée. Un outil capable de détecter les accès à des données personnelles dans les appareils (localisation, photos, carnet d'adresses) a donc été développé, mis au point et expérimenté. Après une première vague de tests en 2013, une « deuxième saison » de Mobilitics a eu lieu pendant l’été 2014. Les premiers résultats présentés dans cette lettre illustrent bien l'intérêt du partenariat entre Inria et la CNIL : des outils imaginés et conçus ensemble sont utilisés par les deux institutions, chacune dans son rôle. Pour la CNIL, il s’agit de mieux comprendre ce qui se passe réellement lors de l’usage de ces appareils, pour définir des priorités d’action et émettre des recommandations. Pour Inria, il s’agit aussi de pousser plus loin les investigations et analyses techniques et de développer des solutions permettant de mieux protéger les utilisateurs. Ces travaux sont donc l’occasion pour les deux institutions de partager leurs analyses et interrogations. En effet, si ces technologies offrent des services extraordinaires aux individus et sont bénéfiques pour la société, elles ne peuvent se développer que dans le respect de la vie privée et des libertés individuelles. Rendre la technologie plus transparente et plus compréhensible aux citoyens est un défi commun pour la recherche et pour l’autorité de régulation. Claude Castelluccia, Directeur de recherche, responsable de l'équipe Inria Privatics Vincent Roca, Chargé de recherche, membre de l’équipe Inria Privatics L
Le smartphone, un GPS dans votre poche pour les autres ?
Les systèmes d’exploitation et leurs magasins d’applications, des acteurs pas comme les autres
Transparence et maîtrise par les utilisateurs : une responsabilité partagée par tous les acteurs du marché
N°08 / novembre 2014
INNOVATION &PROSPECTIVE
Mobilitics, saison 2 : Les smartphones et leurs apps sous le microscope de la CNIL et d'Inria a CNIL et Inria travaillent depuis maintenant 3 ans sur un projet de recherche et d’innovation ambitieux nommé Mobilitics. Son L objectif : mieux connaître les smartphones, ces objets utilisés quotidiennement par des dizaines de millions de français et qui restent de véritables boîtes noires pour les utilisateurs, les chercheurs et les autorités de régulation. Pourtant, ces « amis qui nous veulent du bien » sont d’extraordinaires producteurs et consommateurs de données personnelles. Du point de vue de la recherche, ils incarnent idéalement les enjeux au cur de l’activité de l’équipe Privatics d’Inria : comprendre les mécanismes techniques autour des données person nelles et concevoir des solutions techniques préservant la vie privée. Un outil capable de détecter les accès à des données personn elles dans les appareils (localisation, photos, carnet d'adresses) a donc été développé, mis au point et expérimenté. Après une première vague de tests en 2013, une « deuxième saison » de Mobilitics a eu lieu pendant l’été 2014. Les premiers résultats présentés dans cette lettre illustrent bien l'intérêt du partenariat entre Inria et la CNIL : des outils imaginés et conçus ensemble sont utilisés par les deux institutions, chacune dans son rôle. Pour la CNIL, il s’agit de mieux comprendre ce qui se passe réellement lors de l’usage de ces appareils, pour définir des priorités d’action et émettre des recommandations. Pour Inria, il s’agit aussi de pousser plus loin les investigations et analyses techniques et de développer des solutions permettant de mieux protéger les utilisateurs. Ces travaux sont donc l’occasion pour les deux institutions de partager leurs analyses et interrogations. En effet, si ces technologies offrent des services extraordinaires aux individus et sont bénéfiques pour la société, elles ne peuvent se développer que dans le respect de la vie privée et des libertés individuelles. Rendre la technologie plus transparente et plus compréhensible aux citoyens est un défi commun pour la recherche et pour l’autorité de régulation. Claude Castelluccia, Directeur de recherche, responsable de l'équipe Inria Privatics Vincent Roca, Chargé de recherche, membre de l’équipe Inria Privatics
IP ÉTUDES ET ENQUÊTES
Les données personnelles, ingrédient de base des recettes à succès sur smartphone
Dès 2011, dans son sondage «Smartphones et données personnelles», la CNIL avait souligné le recours massif des utilisateurs de smart phones aux applications téléchargeables. Depuis, la tendance na fait que saccen tuer : diverses études indiquent que les mobinautes et tablonautes français ont en moyenne une trentaine dapplications sur 1 leur appareil . Lécosystème de ces applications a de mul tiples facettes et modèles économiques : les applications peuvent être liées à un autre service (lapp de votre banque par exemple), financées par lintégration de publicités, à travers des achats «in app» (cest le modèle de nombreux jeux à succès) ou encore fondées
Résultats généraux, comparaison entre les deux saisons
Nombre d'applications Qui communiquent sur le réseau Qui accèdent à l'UDID/android ID Qui accèdent à la géolocalisation Qui accèdent au carnet d'adresses Qui accèdent au calendrier
Qui accèdent au nom de l'appareil Qui accèdent au nom d'opérateur Qui accèdent à l'IMEI (identité d'équipement mobile) Qui accèdent à l'adresse MAC WiFi Qui accèdent au numéro de téléphone Qui accèdent à l'identifiant de carte SIM (ICCID) Qui accèdent à la liste des points d'accès WiFi (SSID)
sur la collecte et la monétisation de données à des fins publicitaires par des tiers. En réalité, de ces modèles complémentaires, le dernier est omniprésent et incarne cette économie cachée des données personnelles sur les smartphones que nous cherchons à décrypter. Cette diversité des modèles économiques et des stratégies est difficile à appréhender, la CNIL a donc souhaité se doter d'un outil d'analyse. Développé avec Inria, Mobilitics a été installé sur des smartphones que des agents de la CNIL ont accepté d'utiliser à la place de leur téléphone personnel pendant 3 mois. Ils ont testé 189 apps iOS et 121 apps Android (voir tableau cidessous).
iOS 5 (tests de novembre 2012 à janvier 2013) total : 189 176 93% 87 46% 58 31% 15 8% 3 2% 30 16% non mesuré non mesuré non mesuré non mesuré non mesuré non mesuré
La course aux identifiants
Lors de la première vague, près dune application testée sur deux avait accédé à un identifiant unique alphanumérique de lappareil appelé UDID(Unique Device Identi fier). 40 % des applications ayant accédé à lUDID lavaient en outre envoyé « en clair » (cestàdire sans le chiffrer) sur le réseau. À lépoque, cet identifiant était encore acces sible à toutes les applications. Les versions suivantes du système dexploitation iOS dApple ont limité laccès à cette donnée tout en créant d'autres identifiants, notam ment lAdvertising identifier, identifiant dédié à la publicité, et lIdentifier for vendor, qui est unique pour chaque éditeur dapplication. Notre expérimentation Android montre des logiques similaires, mais dans un envi ronnement par nature plus ouvert et moins contrôléa priorique celui diOS. LAndroid ID est ainsi un identifiant persistant compa rable à lUDID dApple tel quil fonctionnait en 2013, c'estàdire quil sagit dune série
Android « Jelly Bean » (tests de juin à septembre 2014) total : 121 80 66% 41 34% 29 24% 20 17% 4 3% non mesuré 28 23% 24 20% 9 7% 7 6% 6 5% 5 4%
alphanumérique non modifiable. Ladvertising ID(ad ID) est, quant à lui, un identifiant dédié à la publicité que les utilisateurs peuvent er réinitialiser. Depuis le 1 août 2014, Google impose à toute nouvelle application (ou à toute application mise à jour) de nutiliser que cet identifiant pour des fins publicitaires. En outre, les utilisateurs peuvent utili ser des réglages limitant le suivi publici taire. Malheureusement ceuxci ne sont ni simples à trouver, ni faciles à comprendre : sur les iPhones, il faut se rendre dans les réglages de confidentialité, accéder à lop tion « publicité » et activer le suivi publici taire limité ; sur Android, alors que lon pourrait sattendre à pouvoir accéder à ce para mètre dans les réglages du téléphone, il faut en réalité se rendre dans lapplication « Paramètres Google » et activer une option « désactiver annonces par centres dinté rêt » (voir illustration cicontre).
Bien sûr, il ne sagit pas dune étude statis tique : une poignée dutilisateurs nest pas représentative de 30 millions de mobinautes français, et quelques centaines dapplica tions ne sont pas un échantillon suffisant de lensemble des apps disponibles au téléchar gement (plus d'un million sur chacun des deux grands magasins, App Store d'Apple et Play Store d'Android). Cependant, plusieurs semaines de données permettent de com prendre de manière détaillée le fonctionne ment des applications en conditions réelles. Dès la première vague de tests sous iOS, il a été possible de tirertrois séries denseignements: dabord, le statut particulier de la géolocali sation, reine des données du smartphone ; ensuite, la tendance des développeurs et édi teurs dapplications à recourir à des straté gies didentification aux objectifs très divers (mesures daudience, statistiques dutilisa tion, analytics, monétisation et publicité) ; enfin, la difficulté à corréler les accès aux données avec des actions de lutilisateur ou des besoins légitimes des applications. Suite à ces premiers résultats, une deuxième cam pagne de tests a été lancée au cours de l'été 2014. Dautres volontaires ont utilisé une nouvelle version de Mobilitics, cette fois sur des téléphones Android. Ce travail a confirmé la nécessité pour la CNIL de rester vigilante visàvis de linformation des utilisateurs et des outils de maîtrise des données person nelles mis à disposition par les systèmes dexploitation et les éditeurs dapplications.
1 er e Etudes WebObservatoire et Home Devices 1 et 2 trimestre 2014, Médiamétrie, « baromètre trimestriel du Marketing Mobile en France », Mobile Marketing Association France, etInstitut Statista
Capture d'écran de la page « annonces » de l'application « Paramètres Google » sur Android.
3 questions à Camille Gruhier
Journaliste Nouvelles Technologies,
Vous avez publié dans le numéro d’octobre 2014 du magazineQue choisirune enquête sur les applications mobiles et les données personnelles Pourquoi votre magazine s'estil intéressé à ce sujet ? Que Choisirest très sensible à la problé matique de la protection des données personnelles. Les applications mobiles sont désormais massivement utilisées par le grand public, chaque possesseur de smartphone en installe une tren taine en moyenne. Il était donc logique que nous analysions les échanges de données entre lutilisateur et léditeur.
Quels sont les principaux enseignements que vous tirez de vos tests et qu’estce qui vous surprend le plus du point de vue de la protection des consommateurs ? Nous avons constaté que plusieurs applications, même très célèbres, ne se gênent pas pour collecter des informa tions dont elles nont absolument pas besoin pour fonctionner. Cela confirme un besoin de collecter un maximum de données pour vendre aux annonceurs des fichiers très ciblés. Le plus cho quant est sans doute que lutilisateur nest pas informé de cette collecte, on lui en demande encore moins lauto risation.
Avezvous donné des recommandations à vos lecteurs ? Nous conseillons de ne pas téléchar ger dapplications inutiles et de faire régulièrement le tri dans son smart phone. Par ailleurs, mieux vaut éviter de se connecter depuis les réseaux WiFi publics car certains flux de données ne sont pas chiffrés.
Si les traductions techniques de ces réglages sont différentes, nos tests montrent toute fois que la coexistence de nombreux identi fiants facilite grandement les possibilités de contournement de ce type de cloisonnement. Tant que les pratiques de collectes multiples persistent, aucune protection «privacy by design» ne peut savérer techniquement effi cace et, en dehors des garanties juridiques, seule la bonne volonté des développeurs permet de garantir quils ne contournent pas les réglages mis en uvre par les utilisateurs pour limiter le ciblage publicitaire. En effet, les applications testées utilisent une grande diversité didentifiants qui pour raient servir à enrichir leurs moyens de suivi de lutilisateur. Sur le téléphone dun utili sateur qui avait installé 58 applications, cela se traduit de la manière suivante : 23 applications ont accédé à lAndroid_id ; 18 applications ont accédé à lIMEI (Inter national Mobile Equipment Identity), qui est un identifiant alphanumérique unique
du téléphone permettant notamment de bloquer un terminal perdu ou volé en lempêchant de se connecter aux réseaux des opérateurs ; 10 applications ont accédé à lIMSI (Inter national Mobile Subscriber Identity), qui est un identifiant unique stocké dans la carte SIM permettant à un opérateur didentifier un abonné ; 5 applications ont eu accès à lidentifiant unique de la carte wifi (ladresse mac) du téléphone. Cet identifiant est utilisé lors de toutes les communications entre un terminal et un point daccès wifi. Lorsque le wifi est activé, ladresse MAC est périodi quement diffusée par le téléphone ; 5 applications ont accédé tout simple ment au numéro de téléphone ; 5 applications ont accédé à lidentifiant unique de la carte SIM (ICCID) ; 2 applications ont accédé à la liste des identifiants des points daccès wifi (Wifi_ ssid) à portée de lutilisateur.
Le smartphone, un GPS dans votre poche pour les autres ?
Entre un quart et un tiers des applications présentes sur les différents appareils des vagues 1 (iOS) et 2 (Android) ont eu accès à la localisation de lappareil. Ce chiffre nest en soi ni choquant ni surpre nant : de nombreuses applications ont des raisons légitimes daccéder à la position géo graphique de lappareil, que ce soit par le GPS ou grâce à la détection des antennes du réseau cellulaire ou des bornes wifi entourant lappa reil. Sur lensemble des applications testées, la très grande majorité avait au moins une fonc tion accessoire utilisant la géolocalisation. Le plus surprenant est surtout lintensité et la fréquence daccès à cette information par certaines applications. Par exemple, sur une période de 3 mois, une application a accédé plus de 1 million de fois à la géolocalisation et une deuxième application plus de 700 000 fois. Cela représente en moyenne près dun accès par minute sur une période de 3 mois Et pourtant il ne sagissait pas dapplications de navigation ou ditinéraire. La géolocalisation est donc, en volume, la donnée la plus collectée : elle représente à elle seule plus de 30% des évènements détectés par nos outils. Pour autant, rien ne permet daffirmer que les éditeurs récupèrent en per manence ou périodiquement (« par paquets ») cette information : elle peut nêtre collectée que pour être utilisée dans lappareil par lap plication. Ces accès si nombreux ne peuvent être reliés simplement à des fonctionnalités offertes par l'application et encore moins à une action demandée par l'utilisateur. Ils sou lèvent dès lors en euxmêmes une question de protection de la vie privée, transformant le téléphone en un instrument permanent de localisation de son propriétaire (sans même parler des conséquences éventuelles en termes de performance ou de durée de vie de la batterie). Par exemple, si une application de réseau social peut disposer de la géolocalisation au
moment où lutilisateur souhaite partager un contenu localisé, laccès quasipermanent à cette information sur une longue période semble disproportionné et constitue une source de risques pour la personne géolo 2 calisée . Sagitil dun problème de mauvaise opti misation des commandes de lapplication (qui nauraient alors pas été pensées pour réduire la collecte de cette donnée à ce qui est utile, mais la rendraient au contraire permanente « au cas où »), ou bien certaines applications chercheraientelles à acquérir des informations riches sur lensemble des localisations dune personne, en dehors de tout lien avec les fonctionnalités premières de lapplication ? Quoiquil en soit, quand on connait la richesse de linformation de géolocalisation pour les objectifs de marketing, de ciblage, de contextualisation et de personnalisation, on est en droit de sinterroger sur la nécessité daméliorer les solutions proposées actuel lement par les systèmes dexploitation des smartphones. Ces solutions reposent en effet sur une autorisation ou un refus (« à prendre ou à laisser ») plus ou moins géné rique : global pour Android ou application par application sur iOS. Lintérêt dune amélioration en ce domaine serait impor tant puisque les travaux deSébastien Gambs, de lIRISA, ou d'YvesAlexandre de Montjoye, du MIT et de lUniversité catholique de Louvain, ont notamment montré quune base de don nées de localisation permettait de déduire des informations détaillées sur les habitudes et modes de vie des personnes : lieux de vie et de travail, sorties, loisirs, mobilités, mais aussi éventuellement fréquentation déta blissements de soins ou de lieux de culte...
2 Sur iOS8, déployé en septembre 2014, les applications peuvent demander laccès à la localisation « toujours » ou seulement « lorsque lapp est en marche », ce qui va dans le bon sens du point de vue de la granularité des réglages.
IP ÉTUDES ET ENQUÊTES
Les systèmes d’exploitation et leurs magasins d’applications, des acteurs pas comme les autres
La saison 1 de Mobilitics avait montré une présence non négligeable dApple dans son propre écosystème en tant que 3 collecteur de données issues de liPhone . Déjà dans iOS, Google était un acteur extrêmement présent à travers ses dif férents services (Google m aps, Gm ail, G oogle search ...) m ais égalem en t en tant que fournisseur de fonctionnalités (publicité, analytics) pour des applica tions dautres éditeurs. Les résultats issus de l'étude des usages des smartphones Android renforcent ce constat, en parti culier pour certains services installés par défaut sur les appareils : Lapplication Play Store est ainsi lune des plus grosses consommatrices de don nées, puisqu' elle a accédé en 3 mois et pour un seul utilisateur 1 300 000 fois à la localisation cellulaire, 290 000 fois au GPS, 196 000 fois au scan du wifi et plu sieurs milliers de fois à quelques autres
données. Cest dautant plus remarquable que l'app Play Store est quasiment indis pensable pour installer ou mettre à jour des applications et quelle est devenu un élément sousjacent du système dexploi tation pour lequel il centralise et contrôle de nombreuses fonctions et mises à jour. Un article de presse spécialisée la ainsi qualifié en juillet 2014 de « gardien de 4 lécosystème Android ». Lapplicationw idget « A ctualités et météo » a accédé 1 560 926 fois à la loca lisation de lutilisateur pendant les trois mois de lexpérimentation. Cette appli cation a aussi communiqué 341 025 fois avec internet. O r, ces ap p lication s étan t p résen tes par défaut sur lappareil et ne pouvant être supprimées, lutilisateur na pas pu consulter les informations collectées, qui sont généralement affichées avant le télé chargement et linstallation dune appli
cation sur Android. La mise en uvre de mesures dinformation et de réglages spé cifiques pourrait dès lors être envisagée. Il serait par exemple possible de créer des réglages dédiés, par exemple un tableau de bord (dashboard) explicitant leurs accès et transmissions de données et les raisons associées, avec des possibilités de refuser (opt out) ou d'accepter (opt in) cer taines fonctions.
3 Par exemple, Apple utilise les iPhones pour mettre à jour ses bases de données de localisation des antennes wifi, sur lesquelles reposent ses propres services de cartographie. Apple utilise également lenvoi de données vers ses propres serveurs pour des services tel que Siri, qui est basé sur lanalyse de la voix. 4 Ulrich ROZIER, «Google Play Services, le cheval de Troie de Google», FrAndroid, 9 juillet 2014.
Transparence et maîtrise par les utilisateurs : une responsabilité partagée par tous les acteurs du marché
De nombreux documents produits par les régulateurs ou par lindustrie elle même mettent en avant à la fois les res ponsabilités qui pèsent sur chacun des acteurs ainsi que les bonnes pratiques et recommandations à respecter. Ainsi, le « groupe de larticle 29 » (le groupe des CNIL européennes) a publié en 2013un avis sur les applications destinées aux dispo sitifs intelligents. De même, le bureau du procureur général de Californie, laFederal Trade Commission, leGSMA (regroupant les opérateurs mobiles), lautorité de pro tection de données de Bavièrel ou ICO bri tannique ont publié leur propre série de recommandations. Les résultats Mobili tics montrent la nécessité pour chaque catégorie dacteurs de prendre la mesure de ses propres responsabilités et non de faire peser cette charge sur les autres (ou sur les utilisateurs). Les grands systèm es dexploitation et magasins dapplications ont un rôle clé et des responsabilités lourdes. Ils définissent le cadre daction des autres acteurs en décidant ce qui est techniquement pos sible et ce qui ne lest pas, les outils dinform ation et de m aîtrise qui sont
disponibles et le moment auquel il est possible dy accéder (au téléchargement, à linstallation, par des alertes à lécran, dans les réglages de lappareil). Si chaque nouvelle version des systèmes dexploi tation est loccasion de changem ents souvent positifs dans les outils et règles disponibles, ces acteurs doivent renforcer leur engagement au service de la protec tion de la vie privée des utilisateurs. Leur responsabilité est dautant plus grande quils sont dans une situation très privi légiée par rapport à laccès à des informa tions collectées ou stockées sur lappareil (voir partie précédente). Les développeurs et éditeurs dapplication doivent quant à eux adopter une approche deprivacy by designnotam m ent et lesm inim iser données en sinterdisant la collecte des données qui ne sont pas liées au service rendu par lapplication.
Stéphane Petitcolas, Ingénieur au service de lexpertise technologique, CNIL
Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne CS 30223 75083 Paris CEDEX 02 Tél.:01 53 73 22 22 Fax :01 53 73 22 00 publications@cnil.fr Édition trimestrielle Directeur de la publication :Édouard Geffray Rédacteur en chef :Gwendal Le Grand Conception graphique :EFIL Communication 02 47 47 03 20 www.efil.fr Impression :Champagnac Crédit photos :CNIL ISSN :21189102 Dépôt légal :à publication
Cette uvre est mise à disposition sous licence Attribution 3.0 France, sauf les illustrations. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by/3.0/fr/
Les points de vue exprimés dans cette publication ne reflètent pas nécessairement la position de la CNIL